Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本快速入门介绍如何使用Azure 资源管理器模板(ARM 模板)创建Azure 密钥保管库托管 HSM。 托管 HSM 是一种完全托管、高度可用、符合标准的云服务,可用于使用 FIPS 140-3 级别 3 验证的 HSM 来保护云应用程序的加密密钥。
Azure 资源管理器模板是一个 JavaScript 对象表示法(JSON)文件,用于定义项目的基础结构和配置。 模板使用声明性语法。 你可以在不编写用于创建部署的编程命令序列的情况下,描述预期部署。
如果你的环境满足先决条件,并且你熟悉使用 ARM 模板,请选择 部署到 Azure 按钮。 模板将在Azure门户中打开。
先决条件
如果没有 Azure 订阅,请在开始前创建 试用订阅。
如果希望在本地运行 CLI 引用命令,install Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行Azure CLI。 有关详细信息,请参阅 如何在 Docker 容器中运行Azure CLI。
如果使用本地安装,请使用 az login 命令登录到Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅Azure CLI登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
查看模板
本快速入门使用 Azure 快速入门模板:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
该模板定义以下Azure资源:
- Microsoft.KeyVault/managedHSMs:创建 Azure 密钥保管库 托管 HSM。
部署模板
模板需要与你的帐户关联的对象 ID。 若要找到它,请使用 Azure CLI az ad user show 命令,将电子邮件地址传递给 --id 参数。 只能使用 --query 参数将输出限制为对象 ID。
az ad user show --id <user-email> --query "id"
可能还需要租户 ID。 若要找到它,请使用 Azure CLI az ad user show 命令。 只能使用 --query 参数将输出限制为租户 ID。
az account show --query "tenantId"
现在可以部署 ARM 模板:
选择下图以登录到Azure并打开模板。 该模板创建托管的 HSM。
选择或输入以下值。 除非另有指定,否则请使用默认值创建托管 HSM。
- Subscription:选择Azure订阅。
- 资源组:选择 “新建”,输入资源组的名称,然后选择“ 确定”。
- 位置:选择一个位置。 例如,“中国东部 2”。
- managedHSMName: 输入托管 HSM 的名称。
- 租户 ID:模板函数会自动检索租户 ID;请勿更改默认值。 如果没有值,请输入之前检索到的租户 ID。
- initialAdminObjectIds:输入之前检索到的对象 ID。
选择“购买”。 成功部署托管 HSM 后,会收到通知:
Azure门户用于部署模板。 除了Azure门户,还可以使用Azure PowerShell、Azure CLI和 REST API。 若要了解其他部署方法,请参阅部署模板。
验证部署
可以使用 Azure CLI az keyvault list 命令验证是否已创建托管 HSM。 将结果格式化为表,使输出更易于读取:
az keyvault list -o table
您将看到您新创建的托管 HSM 的名称。
清理资源
本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。
如果不再需要资源组和所有相关资源,可以使用 Azure CLI az group delete 命令删除资源组和所有相关资源:
az group delete --name "myResourceGroup"
警告
删除资源组会将托管 HSM 置于软删除状态。 管理的 HSM 将继续计费,直到被删除。 请参阅托管 HSM 的软性删除和清除保护
后续步骤
在本快速入门中,您创建了一个托管 HSM。 在激活之前,此托管 HSM 不能完全发挥功能。 若要了解如何激活 HSM,请参阅 “激活托管 HSM”。
- 阅读 托管 HSM 概述。
- 了解如何 管理托管 HSM 中的密钥。
- 查看 保护Azure托管 HSM 部署。